我为指纹供应商工作。而且我们对IAR不一致。
我不确定是否可以从这里得到答案,但是我只是需要有机会对此抱怨。
我们可以找到有关IAR的定义,如下所示: https://source.android.com/security/biometric/measure
我们可以看到有一个明确的解释
但是,没有一种方法可以模仿指纹 被接受为用户的-因此没有明确的概念 冒名顶替攻击指纹传感器。
和
不需要指纹IAR。
因此,显然,作为供应商,我们无法提供IAR测试的结果。
但是在CDD中:https://source.android.com/compatibility/8.1/android-8.1-cdd#7_3_10_fingerprint_sensor
[SR]强烈建议欺骗和冒名顶替者接受率不超过7%。 [C-1-4]必须披露此模式可能是 安全性不如强大的PIN,图案或密码明显 列举了启用它的风险,如果欺骗和冒名顶替者 接受率高于7%。
多么奇怪!为什么在本文档中要求IAR?目前,即使我向他展示了上面的说明页面,我们的客户也只是接受CDD。
我不知道这是Google还是我的客户的问题。如果是Google的问题,我该如何获得官方解释?